Professional Documents
Culture Documents
H A U T E A U T O R IT E P O U R L A D IF F U S IO N D E S Œ U V R E S E T L A
P R O T E C T IO N D E S D R O IT S S U R IN T E R N E T
SPECIFICATIONS
FONCTIONNELLES DES
MOYENS DE
SECURISATION ET
CONSIDERATIONS
ORGANISATIONNELLES
VERSION
APRES LA CONSULTATION OUVERTE
JUSQU’AU 30 OCTOBRE 2010
4 RUE DU TEXEL
75014 PARIS
SPECIFICATIONS
FONCTIONNELLES
DES MOYENS DE SECURISATION
ET CONSIDERATIONS
ORGANISATIONNELLES
V E R S IO N A P R E S L A C O N S U L T A T IO N
INTRODUCTION
LA REPONSE GRADUEE
La réponse graduée repose sur l’obligation du titulaire d’un accès à internet de veiller à
ce que cet accès ne soit pas utilisé à des fins de contrefaçon (article L336-3 CPI).
Elle a pour objectif d’inciter les abonnés à changer de comportement afin que leur accès
internet ne soit plus utilisé en violation des droits d’auteur.
À cet effet, il est prévu que sur saisine des ayants droit, la commission de protection des
droits de l’Hadopi puisse adresser aux abonnés dont l’accès aura été utilisé pour mettre à
disposition ou reproduire sans autorisation des œuvres protégées par le droit d’auteur, des
recommandations rappelant les dispositions du code de la propriété intellectuelle. Ces
recommandations sont adressées par courrier (électronique et postal) et:
Dans le cas où l’accès à internet de l’abonné serait de nouveau utilisé à des fins de
contrefaçon après deux recommandations dont la seconde est envoyée par lettre remise
contre signature, la commission de protection des droits peut prendre la décision de
transmettre le dossier au parquet.
Cette infraction est une contravention de 5ème classe, prévue à l’article R 335-5 du Code
de propriété intellectuelle. Celle-ci peut être constituée lorsque, malgré la deuxième
recommandation envoyée par l’Hadopi par lettre remise contre signature, un nouveau fait de
contrefaçon est constaté alors que le titulaire de l’accès soit s’est abstenu de mettre en place
un moyen de sécurisation de son accès internet, soit a manqué de diligence dans la mise en
œuvre de ce moyen de sécurisation.
Les mesures de sécurisation (dans la suite du document, désignés par MS) sont
l’ensemble (technique et organisationnel) des méthodes et procédés, mis en œuvre pour
sécuriser l’accès aux réseaux publics (internet, Réseaux de télécoms, etc.) sur les matériels
de connexion (terminaux des utilisateurs, point d’accès, liens de communication, etc.) et
leurs logiciels (système d’exploitation, protocoles, services, etc.) dans la chaîne de
connexion.
Les MS concernent tous les abonnés pour la protection de leur réseau local privé
connecté à l’internet, de leurs appareils de communication connectés aux réseaux sans fils
et de leurs ustensiles informatiques connectés à un réseau public, afin d’empêcher l’intrusion
par un tiers non autorisé dans un système électronique pour le vol ou la falsification de
données personnelles ou l’utilisation des ressources informatiques à des fins malveillantes
(indisponibilité, usurpation d’identité, etc.).
Il est donc souhaitable, voire indispensable, pour compléter la panoplie des outils de
sécurisation actuels, d’y adjoindre une Application supplémentaire (objet essentiel de ce
document) qui n’est pas une application de sécurité proprement dite, mais qui vise à
améliorer le niveau d’assurance de sécurité de son réseau local privé et une meilleure
gestion d’usage des contenus dans ce réseau local. Cette Application vise le moyen de
sécurisation mentionné à l’article L331-26 du CPI. Les spécifications fonctionnelles de
l’Application comprises dans le présent document désignent ainsi les spécifications
fonctionnelles des moyens de sécurisation mentionnés à l’article L331-26.
1
Force est de constater que les virus, les vers, les botnets et les spams se répandent toujours autant.
Les MS sont donc composés à la fois des mesures techniques (notamment cette
Application supplémentaire et les outils de sécurité informatiques classiques, en support) et
des mesures organisationnelles (politique de sécurité, charte, règlement, information,
sensibilisation, identification des machines, éventuellement des utilisateurs) nécessaires
pour la mise en vigueur d’une attitude vigilante et responsable à l’égard de l’utilisation d’un
réseau local informatique connecté sur des réseaux extérieurs. Les mesures élémentaires
d’éteindre son ordinateur, de posséder des comptes informatiques personnels avec des
mots de passe sophistiqués pour chaque utilisateur autorisé font partie des mesures
organisationnelles des MS.
Les MS avec cette Application supplémentaire sont définis par leur objectif2 de faire en
sorte qu’il n’y ait pas (dans la mesure du possible) de téléchargement illicite via l’accès au
réseau public (internet, téléphonie mobile).
Le but de cette Application est essentiellement de d’éduquer à une fin d’utilisation des
ressources numériques plus respectueuse de la propriété intellectuelle et à cette fin, fournir
de l’aide pour élever le niveau de sécurisation de l’environnement informatique, de la
responsabilisation des abonnés dans leur connexion aux réseaux extérieurs, de
l’encouragement, si nécessaire, à une modification de la conduite numérique, quand un
utilisateur persiste à réaliser des « téléchargements ludiques » voire des téléchargements
illégaux massifs ou un délit de contrefaçon.
2
Il est difficile de définir le caractère illicite d’un téléchargement, puisque le clonage est constitutif du
numérique. Tel fichier peut avoir été téléchargé légalement, sa copie (son clone) pouvant être selon le
cas, légale (copie privée) ou illégale.
Application
(MS conforme aux SFH)
Une application conforme à SFH (dans la suite du document, désignée Application) est
un dispositif matériel et/ou logiciel qui s’appuie sur les outils de sécurité éprouvés du marché
ou de la communauté du logiciel libre des Systèmes d’Information et des réseaux, afin de
répondre aux spécifications fonctionnelles SFH, objet de ce document. Cette Application
(matérielle et/ou logicielle, centralisée ou décentralisée) est hébergée en totalité dans les
postes des utilisateurs, ou avec une partie seulement sur les postes et une partie dans le
point d’accès, ou complètement en dehors des terminaux des utilisateurs sur une station de
supervision spécifique du réseau local ou bien encore dans le point d’accès (boîtier ADSL).
Cette Application comprend des modules, décrits dans la suite de ce document, pour
assurer la partie supplémentaire des mesures techniques des MS, en complétant les outils
de sécurisation traditionnels, en support.
C’est cette Application des MS qui doit être labellisée par Hadopi.
La composante technique originale de SFH s’appuie sur des moyens fournis par
l’environnement. Par exemple :
n si l’Application est installée dans une entreprise sur une station de supervision
de réseau reliée à des sondes protocolaires, la sécurité du réseau local et les
mesures organisationnelles prises pour les ingénieurs en charge du réseau font
partie des MS.
Solution
Une Solution répondant aux MS (implémentation des MS) est un ensemble de mesures
techniques et de mesures organisationnelles. Les mesures techniques comprennent une
Application qui s’appuie sur les outils de sécurité traditionnels, exploitée et administrée
directement par le titulaire de l’abonnement, ou indirectement sous sa responsabilité via des
fournisseurs de services (FAI, Opérateurs de télécoms, Opérateurs de sécurité, etc.) et/ou
des vendeurs d’équipements (vendeurs d’ordinateurs et/ou de logiciels, etc.) et/ou des
éditeurs de solution de sécurité.
Une Solution répondant aux MS comporte nécessairement une Application qui est un
produit ou un service.
Cette Application peut être un logiciel libre, développée et maintenue par la communauté
du logiciel libre. Dans une organisation, elle est alors gérée par les ingénieurs du réseau qui
assurent la bonne exploitation de l’Application. Chez un particulier, elle est sous la
responsabilité du titulaire de l’abonnement.
La Solution s’applique au Grand Public (les particuliers et les TPE – très petites
entreprises) et aux Professionnels (organismes collectifs), notamment les établissements
publics et les entreprises3.
Le titulaire de l’accès internet est la personne physique et/ou morale qui est le titulaire de
l’abonnement à un réseau public (internet, Réseaux mobiles, etc.). Dans un foyer, c’est en
règle générale une personne majeure (parent, membre de la colocation, etc.). Dans une
organisation, il s’agit du signataire du contrat (le chef d’entreprise, le responsable de
l’établissement). Dans la pratique, ce dernier peut confier la responsabilité informatique à
une personne nommément désignée (un RSSI, un DSI, un DRH ou un informaticien qui gère
le Système d’Information et les réseaux locaux et de télécommunication), laquelle est du fait
de cette délégation l’Administrateur.
Administrateur
Utilisateur
Un utilisateur est une personne autorisée par l’Administrateur à utiliser les ressources
informatiques du réseau local privé.
Dans la pratique, les SFH pour leur partie technique, traitent de machines qui ont des
identifications (en général des adresses physiques et logiques) et des programmes logiciels
qui sont identifiés (avec des licences ou autres) et des fichiers de données personnelles ou à
caractère personnel qui ont des identifications. Il appartient donc à l’Administrateur4 de
s’assurer que les machines, les programmes et les fichiers sous son contrôle sont sécurisés
pour être utilisés par des personnes autorisées.
Les utilisateurs sont des personnes sensibilisées au respect du droit d’auteur et à lutte
contre la contrefaçon, essentiellement dans les organismes collectifs (institutions,
entreprises, etc.), via une charte informatique et le règlement intérieur, mais aussi à domicile
via des avertissements fournis par le FAI et par les éditeurs de l’Application. Un menu d’aide
de l’Application peut rappeler à tout moment à l’utilisateur ces dispositions.
Éditeur de l’Application
Politique de sécurité
La Politique de Sécurité dont il est question dans ce document concerne la partie relative
au dispositif prévu par les lois Hadopi5. Elle est intégrée dans la politique de sécurité globale
définie par le titulaire de l’accès internet.
4
À la maison, le titulaire de l’abonnement n’est pas forcément l’Administrateur car il n’est pas
nécessairement la personne la plus mature en informatique. Le Responsable n’a même pas
nécessairement de compte informatique sur un poste, encore moins sur tous les postes des proches
de son entourage qui se connectent via sa liaison Wi-Fi à internet.
5
La politique de sécurité des systèmes d'information (PSSI) est un plan d'actions définies pour
maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme
(PME, PMI, industrie, administration) en matière de sécurité des systèmes d'information (SSI). Il
n’existe pas de PSSI Hadopi, mais les politiques de sécurité des systèmes d’information des
organismes collectifs doivent désormais prendre en compte les divers éléments applicables de la loi
La labellisation des moyens de sécurisation prévue à l’article L. 331-26 CPI s’inscrit dans
le cadre de la mission générale de protection des œuvres confiée à l’Hadopi, car elle
encourage le développement de moyens de sécurisation de l’accès à internet permettant de
lutter contre les usages illégaux de contenu en ligne et identifie facilement ces moyens
auprès des internautes souhaitant sécuriser leur accès.
Le label sera attribué au terme d’une procédure d’évaluation certifiée, définie aux articles
R. 331-85 et suivants du code de la propriété intellectuelle, permettant de vérifier la
conformité d’un moyen de sécurisation – désigné par « l’Application » dans ce document -
aux spécifications fonctionnelles rendues publiques par la Haute Autorité ainsi que leur
efficacité.
Chaque fonction sera décrite, en spécifiant son but, son principe de fonctionnement, les
données et les objets manipulés.
Les spécifications SFH relatives à la qualité générale sont aussi abordées dans ce
document, c'est-à-dire :
⇒ l’Application fournit aux utilisateurs une aide pour respecter les droits des
créateurs sur leur œuvres ;
⇒ l’Application fait appel à la compréhension des enjeux de la contrefaçon
numérique ;
⇒ l’explicitation en termes informatiques de la notion de sécurisation dans ces
SFH inscrit l’Application dans une logique d’aide à la sécurisation afin que ne
soient pas commis d’actes de contrefaçon et non pas dans une logique
d’application de sécurité ;
⇒ l’Application ne peut pas être installée dans le cœur d’un réseau public ;
⇒ L’Application ne peut être gérée que dans un réseau local privé connecté à au
moins un réseau public, sous la responsabilité du titulaire de l’accès à ce(s)
réseau(x) public(s) ;
⇒ Si l’Application est opérée sous forme de service, à l’extérieur du réseau local
privé, le titulaire de l’accès internet maîtrise à tout moment les paramètres de sa
politique de sécurité et les informations protégées de son Application.
⇒ Pour certaines entreprises (avec de nombreuses agences), l’Application peut
faire transiter de manière protégée des informations à travers le réseau public,
mais à la connaissance et sous la maîtrise du titulaire de l’accès internet.
⇒ l’Application ne doit être utilisée que pour sa finalité et mise en œuvre dans le
respect d’un principe de proportionnalité : aider le titulaire de l’accès internet à
6
Loi n° 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet ; loi
n° 2009-1311 du 28 octobre 2009 relative à la protection pénale de la propriété littéraire et artistique
sur internet.
7
Il faut que ce suivi soit lisible par toute personne, avec des explications claires : « adresse physique
MAC non autorisée, présence éventuelle d’un tiers non autorisé sur la ligne ».
8
Dans certains organismes collectifs, la politique de sécurité impose une surveillance de la totalité de
l’historique, et ce par utilisateur : les principes de la finalité et proportionnalité de l’Hadopi n’imposent
pas une politique aussi sévère.
9
Il faut toutefois signaler et enregistrer les URL visités qui ont servis à un téléchargement illégal. On
n’écrit alors que le haché des URL problématiques. Idem pour le nom du fichier problématique
téléchargé : on n’indique que le haché du nom du fichier.
⇒ l’Application vise la grande majorité des abonnés pour les aider dans la
difficulté de comprendre et d’exploiter leur système numérique local et d’utiliser
avec précaution la connexion à des réseaux publics ;
⇒ l’Application n’est qu’un élément pour lutter contre le téléchargement illégal et
favoriser l’offre légale ;
⇒ l’Application n’affronte pas la communauté des pirates informatiques qui
souhaiteraient briser sa sécurité ou d’en empêcher son fonctionnement ;
⇒ l’Application n’affaiblit pas le niveau de sécurité de l’environnement
informatique du titulaire de l’accès internet ; elle ne doit pas constituer un vecteur
d’attaque contre un équipement du réseau local, ni la source d’une attaque
contre d’autres environnements informatiques ;
10
Une difficulté est de spécifier et concevoir la sécurité de ce produit/service. Dans les foyers,
précisément, le titulaire souverain possède le produit et ses clés. Il faut donc que le produit s’auto-
protège. On sait que les techniques d’assombrissement de code exécutables, d’insertion de code
mort, de code chiffré et déchiffrable à la volée ne sont pas sûres à 100% et qu’elles ne font que
retarder le déverrouillage.
Ce n’est pas le cas en entreprise, car dans ce cas, l’utilisateur final n’a pas accès au produit en entier
puisqu’on sépare radicalement le rôle de l’Administrateur et le rôle de l’utilisateur. L’employé utilise et
le responsable (ou l’opérateur) de sécurité (digne de confiance) gère.
L’Application (produit ou service) conforme aux SFH pourra être composée d’un ou
plusieurs dispositifs matériels et/ou logiciels, dans une architecture centralisée et/ou
distribuée, selon les solutions définies par les concepteurs.
Les pare-feu sont des matériels (pare-feu pour les organisations avec de multiples
connexions de la part de nombreux utilisateurs) et/ou logiciels (pare-feu dans des boîtiers ou
pare-feu personnel sur un seul équipement terminal) qui appliquent une politique de contrôle
d’accès dans toutes les couches des piles protocolaires. Un pare-feu analyse en temps réel
le format des échanges, c'est-à-dire inspecte la syntaxe et la signature comportementale des
piles protocolaires (les paquets, les sessions, les ports, etc.). Le pare-feu filtre les trames
Ethernet, les paquets IP (en général, filtrage suivant les adresses source et destination), les
ports de transport TCP ou UDP, les sessions, les protocoles applicatifs HTTP (pour la
restriction des URL accessibles), FTP, SCP (transfert de fichiers), SMTP (pour lutter contre
le pourriel), Telnet, SSH, etc. Un pare-feu inspecte le trafic entrant et sortant, et bloque ces
flux, selon la politique de sécurité en vigueur sur l’ordinateur. Les pare-feu installés sur les
machines personnelles identifient et vérifient le programme qui est à l’origine des données
pour lutter contre les virus et les logiciels espions. Ils embarquent en général un serveur
mandataire (« proxy ») pour analyser en profondeur certains contenus.
Les cibles d'utilisateurs des dispositifs de sécurité peuvent être classées en 2 grandes
classes : les salariés, employés des entreprises, institutions, associations, (avec des clients
et des visiteurs) d'une part et le grand public, les particuliers à domicile (avec des amis ou
des invités) d'autre part.
Pour les organisations, il y a encore deux sous-catégories : les organisations qui ont du
personnel permanent, identifié et les organisations comme les hôtels, les cybercafés, les
sites Wi-Fi ouverts (aéroports, etc.) où les utilisateurs sont de passage (et parfois
anonymes).
Une approche informatique pertinente est alors de distinguer les conceptions en fonction
du nombre d'utilisateurs (de 1 à 10000) et de leur nature (employé ou visiteur), que le
titulaire du contrat a sous sa responsabilité.
ORGANISATION DU DOCUMENT
En accord avec les définitions de la section « Définition des termes », une Mesure de
Sécurisation se compose d’un ensemble de mesures techniques, l’Application conforme aux
SFH et d’un ensemble de mesures organisationnelles.
Il n’était pas possible dans ce document, qui spécifie l’Application (mesures techniques)
correspondant au moyen de sécurisation prévu à l’article L331-26 CPI, de ne pas non plus
aborder les mesures organisationnelles. Ces mesures complètent les mesures techniques
d’un MS. Ainsi tout au long de ce document, les spécifications sont accompagnées de
mentions et de réflexions concernant des mesures organisationnelles que le titulaire pourra
mettre en œuvre.
Les SFH sont présentées tout d’abord, de manière générique, pour l’ensemble des
solutions possibles. Ce chapitre décrit l’Application et le cadre dans lequel elle doit évoluer.
Sont ensuite décrits deux compléments de présentations plus spécifiques, l’une pour les
organismes collectifs, l’autre pour le grand public et les TPE. Ces deux présentations
déclinent des compléments d’information sur les spécifications en fonction des deux
contextes, d’une part l’environnement professionnel (la sécurisation des systèmes
d’information et réseaux professionnels) et d’autre part l’environnement personnel grand
public (la sécurisation des petits systèmes d’information et le réseau local à domicile) et TPE
(Très Petites Entreprises), en fait celles qui possèdent des configurations informatiques
analogues aux foyers des particuliers.
Comme pour la présentation générale des SFH, après chacun des compléments se
trouve un chapitre récapitulatif des fonctionnalités que l’Application conforme aux SFH doit
posséder si celle-ci est destinée à un des deux contextes, organismes collectifs, grand
public/TPE, abordés par les compléments.
L’Application n’est pas obligatoire ; elle peut être installée et/ou désinstallée, être activée
et/ou désactivée, à tout moment sur le parc entier des équipements ou sur un sous-
ensemble. Il est toutefois recommandé de l’installer et de l’activer pour aider à protéger tout
le réseau de l’environnement informatique du titulaire de l’accès internet afin qu’il maîtrise
davantage la sécurisation de son accès aux réseaux publics pour prévenir
l’accomplissement d’actes de contrefaçon.
II - Cette politique est définie par le titulaire de l’abonnement en choisissant des règles
et des procédures parmi un catalogue d’actions techniques possibles ; l’Application des
MS doit offrir une grande souplesse de fonctionnalités et une granularité d’utilisation ;
11
« moyens de sécurisation » sont notés MS, dans la suite du document.
12
Le ralentissement est optionnel. Il peut être utilisé dans des contextes spécifiques (notamment, pour
les organismes collectifs).
13
Listes :
Les listes peuvent être :
(note de bas de page - suite)
17
Les listes (noire et blanche) ne sont pas incluses dans la mise à jour régulière, en règle générale.
Elles seront incluses si le Responsable fait appel à une prestation extérieure pour leur gestion.
Dans ce cas, les noms sont masqués par une fonction de hachage afin de
respecter la sphère privée de l’utilisateur18.
VIII - L’Application peut être proposée au titulaire de l’accès internet comme un service
opéré par un opérateur de télécom, par un FAI ou par un opérateur de sécurité. Dans
ce cas, le titulaire de l’accès internet conserve la maîtrise de la politique de sécurité sur
toutes ses machines et la maîtrise des journaux. L’Application peut être installée, en
partie, à l’extérieur de l’environnement informatique du titulaire de l’accès internet. Le
contrat entre le titulaire de l’accès internet et le prestataire garantit à ce dernier la
confidentialité, l’intégrité et la disponibilité des données ainsi que le respect des
données personnelles et de la sphère privée de l’activité numérique du réseau local
concerné. Le contrat garantit que l’Application n’affaiblit pas la sécurité du réseau local
de l’abonné.
18
Ce hachage est réversible ; la fonction est connue du seul Éditeur, qui est à même de procéder au
retour en clair à la demande d’un juge.
SPÉCIFICATION GÉNÉRALE
OBJECTIF
La mise en œuvre d’une Application devra permettre au titulaire d’abonnement à un FAI
ou de téléphonie mobile de sécuriser sa navigation personnelle et la navigation sur internet
des utilisateurs qu’il a sous sa responsabilité, afin de réduire notablement les risques
d’utilisation de son accès internet à des fins de contrefaçon.
CARACTÉRISTIQUES GÉNÉRALES
L’Application doit être :
CADRE TECHNIQUE
La spécification repose sur les outils suivants :
nLes réseaux publics avec leurs piles protocolaires standardisées (Ethernet, IP,
TCP, UDP, HTTP, etc.) ;
Les SFH peuvent être regroupées en 4 modules qui idéalement comprennent les quatre
familles de fonctions principales.
L’Application s’appuie, par ailleurs, sur les fonctions de sécurité du système informatique
du titulaire.
Examen de la
configuration
Sécurité
Moteur
dynamique
Notifications
statique et
et alertes
de Journal Spécifications Fonctionnelles Hadopi SFH
Profils
Règles Flux sortants
en clair Flux entrants
ou
chiffré
Message
d’alertes
Administration
Traitement
Journalisation
Sécurité
ERGONOMIE
L’Application qui est un dispositif (matériel et/ou logiciel) ou un service, est facile à
installer (et à désinstaller). Il est facile à activer (et à désactiver) par l’Administrateur.
INTERFACE GRAPHIQUE
L’interface graphique effectue la liaison entre l’Administrateur et l’utilisateur d’une part et
l’Application d’autre part. Cette interface doit être aussi discrète que possible lorsque la (ou
les) machine(s) a (ont) un comportement normal sur le réseau. Mais lorsqu’une machine a
un comportement à risque, l’interface doit le signaler clairement à l’Administrateur (et
l’utilisateur). L’Administrateur et/ou l’utilisateur doivent aussi pouvoir apprécier d’un simple
coup d’œil le niveau global correspondant au comportement de la (ou des) machine(s).
Il existe un mode silencieux de telle façon que l’Administrateur et/ou l’utilisateur ne soient
plus importunés par des alertes et/ou notifications. Nonobstant ce mode silencieux,
l’Administrateur est toujours responsable des actions susceptibles à risque19 effectuées par
la (ou les) machine(s), y compris dans ce cas.
Installation
Il est nécessaire d’être Administrateur pour installer l’Application, dans le cas d’une
installation sur ordinateur.
19
Pour éviter tout désagrément à l’Administrateur, on peut envisager par exemple de bloquer les
actions problématiques quand l’utilisateur a coché la case de l’interface personne-machine : « ne plus
me demander » ou bien quand cette interface est fermée.
20
On fera un effort dans la procédure d’acceptation pour que la licence soit lue et comprise.
Mise à jour
Les mises à jour sont déterminantes. L’Administrateur ne peut pas conserver des
versions de l’Application qui possèderaient des erreurs ou failles connues et qui seraient des
brèches pour les pirates. Dès que les patches (les rustines) sont disponibles, il doit pouvoir
les installer sans tarder.
La partie logicielle du dispositif doit pouvoir être mise à jour de manière automatique. Un
certain nombre de composants de l’Application doivent régulièrement être mis à jour. Ces
composants sont :
n Les définitions des règles de sécurité : Il est nécessaire que les définitions des
règles de sécurité suivent les évolutions produites dans le domaine du
téléchargement illégal (nouveaux protocoles ou modifications des protocoles
existants).
Les mises à jour doivent être sécurisées (la disponibilité doit être assurée notamment).
CONFORMITÉ DE L’APPLICATION
L’Application doit être conforme aux spécifications et à la documentation.
Les critères incluent notamment le type de flux ou protocoles, le protocole applicatif, des
listes, des caractéristiques de formats22, de débits, de volumes, des profils d’utilisateurs, des
plages horaires23.
Ces trois sous-modules engendrent des notifications et des alertes, pour l’Administrateur
et/ou l’utilisateur. Selon la politique de sécurité, en temps réel ou à intervalles définis, un
compte-rendu des alertes est fourni à l’Administrateur pour exploitation et aux utilisateurs
autorisés dans un but d’information mais aussi pédagogique de sensibilisation.
21
La réduction de débit n’a rien à voir avec une sanction. Elle peut être utile dans certains contextes,
notamment dans des organismes collectifs avec un grand nombre d’utilisateurs (résidence
universitaires, etc.).
22
Les caractéristiques des formats sont indiquées par les extensions des noms de fichiers, par les
métadonnées (comme la taille ou la durée des vidéos). On peut par exemple interdire la vidéo tout en
autorisant les vignettes vidéo (de taille faible) ou les bandes annonces de films (de durée limitée).
23
On peut autoriser ou interdire certaines activités informatiques en fonction des jours ouvrés ou
ouvrables et en fonction des heures de la journée.
LES LISTES
Les listes s’appliquent à des entités informatiques : des logiciels, des noms de fichiers24,
des extensions25 de fichiers (ex : .mpeg, .ogg, .wma, etc.), des sites (URL), des ports de
communication, des plages d’adresses, etc.
n Les listes noires : entités interdites par défaut ou entités qui peuvent présenter
des risques en matière de contrefaçon et qui nécessiteront (si la politique de
sécurité le permet) une action de l’utilisateur pour outrepasser la notification du
risque ;
n Les listes blanches : entités autorisées, par exemple la liste blanche de plages
de ports ou d’adresses.
n les logiciels, la liste des logiciels à risque définis par le titulaire de l’accès
internet,
n les URL, la liste des sites web interdits par décision de justice,
n les adresses IP, les plages d’adresses IP interdites qui rentrent en jeu dans
certains protocoles ou certains logiciels.
Les éléments du doublet peuvent être un ensemble vide. Il peut, par exemple, ne pas
exister de listes noires pour certaines entités informatiques.
Les listes noires et blanches d’une entité sont disjointes. Si les listes ne sont pas
disjointes, l’élément est traité de la manière suivante : la liste blanche outrepasse la liste
noire. Autrement dit, un élément interdit et autorisé est considéré comme autorisé26. Un
élément de l’ensemble (des logiciels, des URL, des ports, des adresses, etc.) peut
n’appartenir à aucune de ces listes (les listes ne sont pas nécessairement une partition de
l’ensemble). Tous les éléments qui peuvent être susceptibles d’être surveillés ne sont pas
forcément dans une liste. Les éléments n’appartenant à aucune de ces listes sont traités
logiquement et croisés avec d’autres paramètres, conformément aux règles.
L’Administrateur peut modifier ces listes. Ces modifications sont journalisées pour son
information.
24
Les Listes de noms de fichiers ne sont en général pas fiables.
25
Les extensions de fichiers ne sont en général pas fiables et doivent être traitées avec précaution. Il
ne s’agit pas ici d’empêcher tout téléchargement d’image jpeg ou de jeu vidéo qui utilise des fichiers
mp3.
26
Cela peut être le cas, lorsque l’Administrateur génère lui-même ses listes qui doivent écraser des
listes standard, par défaut.
LE SOUS-MODULE STATISTIQUE
Le sous-module statistique a pour rôle de réaliser un audit constant de comptage
statistique de trames montantes et descendantes, transitant à travers le point d’accès,
frontière entre internet et le réseau local.
Dans les points d’accès récents27, il existe dans les routeurs et dans les boîtiers de
connexion, des compteurs de trames montantes et descendantes. Il est donc possible
(quand on peut y accéder) de fournir au titulaire de l’abonnement, s’il le souhaite, ces
statistiques montantes et descendantes, ces statistiques étant décomposées par adresse
physique d’équipement.
27
Les routeurs élémentaires ou anciens n’offrent pas cette possibilité.
Ce sous-module, s’il est en activité, peut détecter les machines (autorisées ou non) qui
se sont connectées avec les transferts dans les deux sens toutes les tranches de 30 minutes
ou toutes les heures. Le titulaire de l’accès internet peut exploiter ces statistiques pour
améliorer la sécurité de sa ligne (point d’accès et connexions) et sensibiliser son entourage.
Ce module réalise en temps réel une analyse contextuelle et syntaxique des flux du
contenu ; il n’analyse pas le contenu sémantique des fichiers28 dans la mesure où ne sont
pas analysés à ce jour les attributs de mesures techniques de protection (MTP ou DRM) ou
les empreintes des contenus des fichiers.
Ce module a pour but d’identifier de manière précise les protocoles applicatifs, par le
biais d’analyseurs des interactions entrante et sortante sur les interfaces du réseau par une
analyse détaillée des signatures, des formats et de la syntaxe des protocoles de la couche
applicative.
Les actions possibles s’étendent sur toute la palette des protocoles (pair-à-pair,
streaming, téléchargement direct, messagerie instantanée…, cloud computing) de l’internet.
Le module détecte et contrôle les protocoles répertoriés par l’Éditeur de l’Application.
Il existe en 2011, environ 150 piles protocolaires utilisées sur internet : par exemple
HTTP/TCP/IP est un exemple de pile protocolaire applicative pour consulter le Web,
ed2k/TCP/IP30 est un exemple de pile protocolaire applicative pour télécharger des fichiers
avec une méthode de poste-à-poste.
28
Cf. infra le paragraphe intitulé « Cas particulier du filtrage des contenus dans certains organismes ».
29
Le ralentissement de certains flux est optionnel. Il peut être utilisé à des fins de gestion de réseaux
privés ou de manière préventive.
30
Pile protocolaire qu’utilisent les clients P2P eMule, eDonkey.
Dans une organisation ou chez le particulier, ces actions, portant sur des accès et des
contenus permettent de réguler l’utilisation d’internet des utilisateurs autorisés conformément
aux règles établies par le responsable de l’établissement ou le titulaire de l’abonnement.
L’Application prévoit par défaut une liste non exhaustive des connexions à surveiller.
La détection des connexions suspectes est basée sur un ensemble de règles de sécurité.
Ces règles sont régulièrement mises à jour de façon à prendre en compte de nouveaux
protocoles ou de nouveaux comportements délictueux sur le réseau.
31
Il est nécessaire de répéter que la technologie est neutre.
L’analyse s’effectue de manière passive, c'est-à-dire qu’elle ne modifie pas les contenus
et les attributs du réseau que l’Application traite.
Il est toutefois possible, selon la politique de sécurité mise en vigueur par le titulaire de
l’abonnement d’adopter une attitude plus active et de mettre fin, par précaution, à certaines
connexions pour lesquelles des logiciels, des adresses, des sources, des destinations
seraient suspects.
Dans un premier temps, un moteur de bas niveau capte à la volée le trafic réseau et
décode syntaxiquement les différentes couches protocolaires de manière à en extraire des
caractéristiques (motifs distinctifs, signature protocolaire). Cette étape fournit des éléments
et des événements qui sont ensuite analysés, en temps réel, selon les règles de la politique
de sécurité. Par exemple, l’analyse se fera par la comparaison des URL à des URL définis
dans une liste.
Dans un second temps, un moteur de haut niveau, analyse en léger différé (comme un
serveur mandataire – un « proxy »), les éléments et les événements générés par le premier
moteur, et agit selon des règles de haut niveau d’abstraction de la politique de sécurité,
prenant en compte le contexte. Ces règles sont des canevas d’analyse qui prennent en
compte le contexte statique (la configuration présente de l’ordinateur) et le contexte
dynamique (les flux entrant et sortant).
Ces règles seront, à plus long terme, après le déploiement des solutions, mises à jour au
fil du temps.
Langage de règles
Ces règles doivent être écrites dans une norme commune à tous les fournisseurs des
Applications. La politique de sécurité peut être écrite en utilisant le langage SAML. Le
langage de règles peut être par exemple XrML.
L’Application prévient l’Administrateur et/ou l’utilisateur que les modes et les outils de
communication utilisés (les URL, les piles protocolaires, les ports, les adresses, etc.) sont
potentiellement à risque.
certain point, le résultat d’un blocage pourrait interdire l’accès à des services de livraison des
contenus légaux.
Fournir aux Administrateurs et/ou aux utilisateurs une manière de reconnaître, agir, en
évitant ou interrompant un téléchargement illégal, doit être une fonctionnalité essentielle de
toute initiative de sécurisation d’un accès contre son mauvais usage.
Pour les règles, il existe donc des indices de situation courante, de conduite ordinaire, et
des indices de situation remarquable, spécifiques de conduites à risque ou anormales. Cette
distinction normale-anormale ne sépare donc pas l’acquisition ou la présentation d’un fichier
légal (téléchargement en P2P d’une version de Linux, streaming sur France culture, etc.) de
l’acquisition ou la présentation d’un fichier illégal. Cette analyse distingue des conduites
protocolaires spécifiques, définies sur des bases de critères quantitatifs, qui varient au cours
de la session.
Les règles et les critères devront évoluer avec les usages dans le temps, en fonction des
pratiques sur internet, et être mis à jour. Il sera nécessaire de mesurer l’impact des règles
utilisées dans les mois passés afin d’affiner les règles à venir. L’analyse anonyme
statistique, sur les réseaux des opérateurs de télécoms, des éléments et des événements
permet en effet :
n Les notifications de haut niveau sont générées par l’analyseur haut niveau de
l’Application.
Chaque notification dans son contexte doit être inscrite dans le journal si celui-ci est
activé.
L’analyse de haut niveau consiste à analyser les différentes notifications de bas niveau
émises par la partie analyse de configurations et la partie analyse dynamique du réseau, et,
en fonction de ces notifications de bas niveau et des règles de sécurité régulièrement mises
à jour, de générer une notification de haut niveau.
Les notifications sont destinées à l’Administrateur et/ou à l’utilisateur. Les alertes sont
des notifications de haut niveau destinées à l’Administrateur.
Le moteur de haut niveau devra être relativement standard entre les diverses solutions
proposées par les différents acteurs de telle manière qu’un groupe de veille technique sur les
pratiques sur le réseau puisse permettre d’échanger rapidement et de diffuser les règles
nouvelles à adopter.
n Par opposition, le contenu des fichiers, l’historique des pages visitées ne sont
pas enregistrées dans le journal.
Cette journalisation est optionnelle pour chaque utilisateur. Il peut donc n’y avoir aucune
journalisation pour le réseau local, ce qui n’empêche pas l’Administrateur de recevoir
optionnellement des messages d'alerte avec des informations synthétiques sur les
anomalies observées, comme indiqué dans le module de traitement.
n Le journal est chiffré, il est intègre et confidentiel ; le journal est intègre (idem au
point précédent) et confidentiel, c'est-à-dire qu’il est chiffré en utilisant la
cryptographie symétrique par une clé secrète (un autre mot de passe) que possède
l’Administrateur. Le droit de lire ce journal sécurisé est restreint au titulaire de
l’accès internet qui pourra le déchiffrer en utilisant la clé secrète qu’il détient.
L’Application permet le déchiffrement de ce journal, lorsqu’on est Administrateur et
qu’on possède cette clé secrète.
Le journal en clair sera rédigé en langue française, avec des explications comme
« Vendredi 3 septembre 2010, 19h23 mn – Alerte significative - Un nouvel ordinateur
inconnu se connecte au boîtier <adresse> : veuillez vérifier les adresses physiques des
équipements informatiques qui sont autorisés à se connecter ». Un appel à une aide
éventuelle fournit les mesures possibles à mettre en œuvre pour remédier à la notification.
Ce journal (on parle de logs ou de traces, en informatique) pour chaque ordinateur est
engendré selon un format standard (heure locale, on utilise les standards de logs),
éventuellement en utilisant le système de gestion du système d’exploitation. Les logs
utilisent de préférence le standard « syslog » ou IDMEF33, qui est une RFC expérimentale de
l’IETF. Les événements seront enregistrés par exemple selon le format suivant :
Ci-dessous se trouvent des exemples d’événements tels qu’ils seront enregistrés dans le
journal :
Jeudi 20 mai 2010 18 :12 :59 : Notification connexion Protocole ABC lancée
Jeudi 20 mai 2010 20 :32 :10 : Notification site interdit lancée
n Notifications générées (bas et haut niveau) : Les notifications générées par les
modules d’analyse ou la gestion des profils sont enregistrés dans le journal (voir
Figure 3 : Exemple de journal, <5>) ;
33
IDMEF : Intrusion Detection Message Exchange Format, RFC 4765 de l’IETF.
OPTIONS DE JOURNALISATION
Pour chaque utilisateur (ou profil d’utilisateurs), il existe un menu à la carte qui offre trois
options :
1. Pas de journalisation ;
2. Un journal en clair que chaque utilisateur pourra consulter ainsi que l’Administrateur.
Ce journal est signé électroniquement par une clé privée que détient l’Administrateur ;
l’utilisateur pourra aussi vérifier l’intégrité de son journal (il a connaissance de la clé
publique).
3. Un journal chiffré que seul l’Administrateur pourra déchiffrer puisqu’il détient seul la
clé secrète. Ce journal est intègre et confidentiel. Cette version du journal est en mode
binaire, compressée, signée électroniquement, chiffrée et archivée. Ce journal sera donc
accessible en clair au titulaire de l’abonnement. Il permettra de vérifier, après
déchiffrement avec la clé correspondant à l’Application, la mise en œuvre du l’Application
à une date et heure donnée, et l’activité informatique de l’internaute concerné. Ce journal
permet de refléter, sans interférence possible de l’utilisateur, les événements de l’accès
internet considéré.
Il est conseillé de ne pas écrire en temps réel les informations dans les journaux .log,
mais avec un léger temps différé pour contrecarrer les quelques menaces provoquées par la
synchronisation d’événements.
CONSERVATION DU JOURNAL
L’organisation des journaux et la date en clair des journaux chiffrés permettent à
l’Administrateur de gérer les journaux et d’adapter la durée de conservation des différents
journaux aux différentes exigences légales.
Signification
Exemple de Journal engendré des étapes
Jeudi mai 20 12 :30 :48 2010 : Mise en marche de l’Application<1>
Jeudi mai 20 12 :30 :49 2010 : Lance l'Écoute de l'interface : \Device\NPF_{A0160E28-0054-4824-
BB02-3658DA127EAB} 0 :c :29 :f8 :21 <2>
Jeudi mai 20 12 :30 :50 2010 : Rapport (Signale programme sur liste noire: Programme ABC) <5>
Jeudi mai 20 12 :30 :50 2010 : Notification programme sur liste noire Programme ABC lancée <5> Détection
Jeudi mai 20 12 :30 :50 2010 : Rapport (Signale programme sur liste noire : Programme DEF) <5> des
Jeudi mai 20 12 :30 :50 2010 : Notification programme sur liste noire Programme DEF lancée <5> programmes
Jeudi mai 20 12 : 30 :52 2010 : Continue malgré Notification : programme sur liste noire : Programme sur Liste
DEF <6> noire
Jeudi mai 20 12 :30 :53 2010 : Continue malgré Notification : programme sur liste noire : Programme
ABC <6>
Jeudi mai 20 12 :42 :50 2010 : Changement de profil : Admin + 19h00-22h00 <4>
Jeudi mai 20 12 :44 :09 2010 : Rapport (Signale hors de la plage horaire : 19h00-22h00) <5> Plage
Jeudi mai 20 12 :44 :09 2010 : Notification heure hors plage horaire lancée <5> horaire non
Jeudi mai 20 12 :44 :57 2010 : Arrête après Notification : heure : hors plage horaire <6> respectée
Jeudi mai 20 12 :44 :58 2010 : Bloque les connexions <6>
Jeudi mai 20 12 :49 :02 2010 : Changement de profil : Admin + 12h00-17h00 <4>
Jeudi mai 20 12 :49 :03 2010 : Débloque les connexions <6>
Jeudi mai 20 13 :29 :28 2010 : Rapport (Signale site sur liste noire) <5>
Jeudi mai 20 13 :29 :28 2010 : Notification site sur liste noire lancée <5> Sites sur
Jeudi mai 20 13 :29 :28 2010 : Rapport (Signale site sur liste noire) <5> Liste noire
Jeudi mai 20 13 :29 :29 2010 : Rapport (Signale site sur liste noire) <5>
Jeudi mai 20 13 :29 30 2010 : Rapport (Signale site sur liste noire) <5>
Jeudi mai 20 14 :12 56 2010 : Rapport (Signale connexion ed2k) <5>
Jeudi mai 20 14 :12 59 2010 : Notification connexion ed2k lancée <5> Connexion
Jeudi mai 20 14 :13 03 2010 : Arrête après Notification : connexion ed2k <6> P2P
Jeudi mai 20 14 :13 03 2010 : Connexion bloquée : ed2k <6>
Jeudi mai 20 14 :32 :27 2010 : Rapport (Signale connexion ed2k) <5>
Jeudi mai 20 14 :32 :28 2010 : Notification connexion ed2k lancée <5>
Jeudi mai 20 14 :13 :03 2010 : Continue après Notification : connexion ed2k <6>
Jeudi mai 20 14 :22 :27 2010 : Rapport (Signale connexion ed2k) <5>
Jeudi mai 20 14 :22 :57 2010 : Rapport (Signale connexion ed2k<5>
Jeudi mai 20 14 :23 :27 2010 : Rapport (Signale connexion ed2k) <5>
Jeudi mai 20 14 :23 :57 2010 : Rapport (Signale connexion ed2k) <5>
Jeudi mai 20 14 :24 :27 2010 : Rapport (Signale connexion ed2k) <5>
Jeudi mai 20 14 :24 :57 2010 : Rapport (Signale connexion ed2k) <5>
Jeudi mai 20 14 :25 :27 2010 : Rapport (Signale connexion ed2k) <5>
Jeudi mai 20 14 :25 :32 2010 : Désactivation de l’Application<3>
Jeudi mai 20 18 :41 :28 2010 : Réactivation de l’Application<3> Pause
Jeudi mai 20 18 :41 :28 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00) <5>
Jeudi mai 20 18 :41 :29 2010 : Notification heure hors plage horaire lancée <5>
Jeudi mai 20 18 :41 :29 2010 : Continue après Notification : heure : hors plage horaire <6> Plage
Jeudi mai 20 18 :41 :19 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00) <5> horaire,
Jeudi mai 20 18 :41 :49 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00) <5> après Pause
Jeudi mai 20 18 :42 :19 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00) <5>
Jeudi mai 20 18 :42 :49 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00) <5>
Jeudi mai 20 18 :43 :19 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00) <5>
Jeudi mai 20 18 :43 :49 2010 : Rapport (Signale hors de la plage horaire : 12h00-17h00) <5>
Jeudi mai 20 18 :44 :12 2010 : Changement de profil : Admin + 12h00-22h00 <4>
Jeudi mai 20 18 :46 :36 2010 : Rapport (Signale streaming vidéo) <5>
Jeudi mai 20 18 :46 :37 2010 : Notification streaming vidéo lancée <5>
Jeudi mai 20 18 :46 :40 2010 : Continue après Notification : streaming vidéo <6> Streaming
Jeudi mai 20 18 :47 :40 2010 : Rapport (Signale streaming vidéo) <5>
Jeudi mai 20 18 :48 :40 2010 : Rapport (Signale streaming vidéo) <5>
Jeudi mai 20 18 :49 :40 2010 : Rapport (Signale streaming vidéo) <5>
Jeudi mai 20 18 :50 :40 2010 : Rapport (Signale streaming vidéo) <5>
Jeudi mai 20 18 :51 :40 2010 : Rapport (Signale streaming vidéo) <5>
Jeudi mai 20 18 :52 :40 2010 : Rapport (Signale streaming vidéo) <5>
Jeudi mai 20 18 :53 :40 2010 : Rapport (Signale streaming vidéo) <5>
Jeudi mai 20 18 :54 :48 2010 : Mise en veille de l’Application <1>
Il a premièrement pour finalité d’aider à sécuriser la ligne qui relie le poste de l’internaute
à internet (ou l’usager mobile au réseau de l’opérateur mobile) et de protéger l’Application et
les résultats de cette Application. L’Application doit être disponible (éviter les menaces de
déni de service) et intègre (éviter les menaces d’altération ou de falsification de
l’Application).
Il a deuxièmement pour but de définir les deux rôles d’Administrateur (l’Administrateur est
le titulaire de l’accès ou son représentant) et d’utilisateur de l’Application (ex : les employés
d’une entreprise, les membres du foyer d’un domicile).
Ce module permet de paramétrer l’accès par des plages horaires (surveillance pendant
les plages horaires, blocages en dehors de plages horaires), par des durées de type
connexion34 (limites de 15 minutes de streaming), par limitation dans le débit ou le volume de
flux (entrant ou sortant) des ordinateurs ou de la ligne.
OBJECTIFS DE SÉCURITÉ
L’Application doit viser les objectifs de sécurité suivants :
Auditabilité
Il faut, pour atteindre cet objectif, utiliser des fonctions d’identification et d’authentification
pour identifier les sujets (login de l’utilisateur, logiciel en exécution, etc.) et les objets en
situation (matériels, logiciels, données). Il faut mettre en œuvre plusieurs fonctions de
34
Le but de ces courtes durées est par exemple de rendre possible la visualisation des bandes
annonces de films nouveaux.
Les mises à jour de l’Application sont sécurisées36, en particulier la mise à jour des
règles.
La sécurité des biens sensibles de l’Application repose aussi sur les meilleures pratiques
en termes de sécurisation du système d’exploitation sous-jacent à l’Application et sur
l’absence de vulnérabilités dans l’Application et dans le système d’exploitation sous-jacent.
Protection du journal
L’horodatage est envisageable pour des cas relativement rares. Il n’est pas forcément
souhaitable, et donc pas du tout obligatoire.
35
Il ne faut pas prendre trop de paramètres pour identifier le lieu, sinon les modifications de
l’identification seront trop fréquentes.
36
On vérifie la provenance de la mise à jour, l’intégrité de la mise à jour.
37
Pour les personnes autres que le titulaire.
La datation éventuelle des traces s’opère à partir d’une date et heure récupérée sur un
serveur NTP (Network Time Protocol). Ce serveur NTP est alors sécurisé en redondance
avec une bascule, afin d’assurer une continuité de service, suite à un dysfonctionnement. La
connexion au serveur est sécurisée, par exemple, par SSL.
RISQUES
L’Application des MS doit être protégée notamment contre les risques suivants :
n Une personne détruit des journaux ou fabrique des leurres de journaux, à l’insu
du titulaire de l’accès internet pour le tromper ou le gêner.
n Une personne provoque un déni de service sur les serveurs de mise à jour et/ou
les serveurs de temps.
Les MS techniques doivent être protégées notamment contre les risques suivants :
38
Uniquement pour le Responsable (le titulaire de l’abonnement), s’il est chiffré, ou les utilisateurs s’il
est en clair.
en brisant la sécurité WEP du Wi-Fi quand l’abonné utilise une sécurité WEP sans
pouvoir migrer vers une sécurité WPA.
POLITIQUE DE SÉCURITÉ
L’Application doit être sécurisée et digne de confiance : elle doit fonctionner correctement
(intégrité et disponibilité). Le titulaire de l’accès (ou l’Administrateur) est souverain de son
patrimoine numérique et responsable de son comportement. Il doit donc connaître les
conséquences de ses choix en matière de politique de sécurité.
n Il peut l’activer ou la désactiver sur l’un des ordinateurs ou sur tous les
ordinateurs, s’il le souhaite.
L’Application doit être identifiée dans son environnement informatique, elle doit être
disponible, intègre, infalsifiable.
L’Administrateur peut créer ses propres profils selon son contexte particulier d’utilisation.
CRYPTOLOGIE
On utilisera, pour toute la partie cryptographique (chiffrement symétrique, chiffrement
asymétrique, signature électronique, authentification, horodatage, etc.), les algorithmes et les
protocoles cryptographiques standards en vigueur.
Sont regroupées dans ce chapitre les fonctionnalités qu’une Application conforme aux
Spécifications Fonctionnelles Hadopi doit posséder.
Ces fonctionnalités sont classées en 5 catégories, les fonctionnalités générales, les
fonctionnalités du module d’Administration, les fonctionnalités du module de Traitement, les
fonctionnalités du module de Journalisation, les fonctionnalités du module de Sécurité.
FONCTIONNALITÉS GÉNÉRALES
• Il existe des listes noires composées d’entités informatiques (logiciels, fichiers,
signature de fichiers, protocoles, URL, ports , IP, etc.) interdites et présentant un
risque en matière de contrefaçon
• Il existe des listes blanches composées d’entités informatiques autorisées
• Il existe un ensemble de règles de sécurité (conditions ==> actions)
• Il existe un ensemble de définitions des notifications
• Il existe une interface graphique
• Il existe un module Administration (module 1)
• Il existe un module Traitement (module 2)
• Il existe un module Journalisation (module 3)
• Il existe un module Sécurité (module 4)
• L’Application ne doit pas faire baisser le niveau de sécurité global sur lequel elle est
déployée
• Les sujets (Utilisateur, logiciel en exécution, etc.) sont identifiés
• Les objets (matériels, logiciels, données) sont identifiés
• Les mises à jour (listes, règles, définitions notifications, etc.) sont sécurisées
(disponibilité, intégrité, confidentialité, traçabilité)
• Les listes, règles de sécurité, définition des notifications sont sécurisées
(disponibilité, intégrité, confidentialité, traçabilité)
• Les journaux sont sécurisés (disponibilité, intégrité, confidentialité, traçabilité) en
accord avec les options de journalisation (module 3)
• L’horodatage des journaux est sécurisé (disponibilité, intégrité, confidentialité,
traçabilité)
• Seul l’Administrateur peut installer et désinstaller l’Application
• Seul l’Administrateur peut activer et désactiver l’Application
• Un ensemble de profils de base (Utilisateur, Administrateur, titulaire de l’accès
internet) sont proposés par défaut
• Seul l’Administrateur peut gérer (créer, modifier, supprimer) les profils
• Seul le titulaire de l’accès internet et l’Utilisateur peuvent vérifier l’intégrité du Journal
dudit Utilisateur
• Seul le titulaire de l’accès internet peut déchiffrer un journal chiffré
• Les listes sont modifiables par le titulaire de l’accès internet
Dans ces organismes, le titulaire de l’accès internet est le chef d'entreprise ou le chef
d’établissement qui peut confier cette responsabilité à sa direction informatique (DSI) ou à un
service (interne ou externe) équivalent. Cette Direction désigne en général un Administrateur
de la sécurité, quand il n’existe pas de RSSI. Pour les PME/PMI, un employé, avec une
expertise informatique, joue en général ce rôle. Parfois la mission est confiée à un
prestataire de service qui assure sous forme contractuelle les diverses missions.
n La sécurité des réseaux locaux et l’interconnexion avec les réseaux publics est
assurée par des filtrages (pare-feu, système de détection d’intrusion, de virus, de
spam, de liens vers des sites de torrents, filtrage du Web, etc.) qui assurent la
protection et le contrôle des réseaux haut débit contre les menaces diverses et
variées. La sécurité du point d’accès, surtout pour les utilisateurs autorisés
nomades, est en général assurée de manière centralisée (prévention des intrusions,
contrôle des accès réseaux Wi-Fi, contrôle des applications). Les dispositifs de
filtrage se situent soit sur un serveur mandataire ou derrière le pare-feu installé à la
frontière du réseau de l’organisation. En général, aucun logiciel n’est installé sur les
ordinateurs ou tablettes ou téléphones portables.
Les filtres Web répondent pour les organismes collectifs aux problématiques suivantes :
n Vérifier a posteriori dans les logs, les sites Web visités ou les services utilisés
par les usagers autorisés (Skype, BitTorrent, P2P, etc.).
Le filtrage peut être passif (aucun impact sur l’utilisateur avec la seule journalisation des
accès) ou actif (blocage éventuel des flux des utilisateurs).
Le blocage est déterminé sur des plages horaires, des extensions ou des types de
fichiers. Le filtre peut bloquer les VPN de tout type. En entreprise, en général, on bloque le
trafic VPN en sortie afin que les utilisateurs ne puissent pas contourner les systèmes de
protection.
Ces filtres Web sont mis à jour régulièrement, souvent en temps réel via des tunnels
sécurisés. La configuration du filtre est sécurisée (et enregistrée à intervalles réguliers).
Ce sont des technologies en temps réel qui combinent les techniques de filtrage avec
état (utilisées pour le filtrage IP) et l’analyse des couches Applicatives. Les filtres bloquent
les attaques contre le réseau et les attaques qui exploitent les vulnérabilités des applications.
L’analyse effectuée repose sur l’analyse des flux échangés par les protocoles de
communication des applications. Les filtres analysent les protocoles suivants : IP, ICMP,
TCP, UDP, HTTP, SMTP, FTP, DNS, SNMP, H323, RTP, SIP, SSL, etc.
Pour les organisations et entreprises, l’Application peut se présenter sous la forme d’un
pare-feu applicatif puissant à la frontière du réseau local de l’organisation ou bien
l’Application peut se présenter sous la forme de sondes (analyseur de protocoles) sur le
réseau de l’organisation, gérées sur une station de supervision de réseau, opérée par le
responsable de sécurité de l’établissement. C’est un réseau de capteurs où les postes des
utilisateurs ne sont pas concernés. Le responsable de sécurité, ou l'ingénieur réseau,
supervise le trafic et les flux en examinant les indicateurs des sondes branchées sur le
réseau.
Une solution centralisée sous forme de station de supervision branchée à des sondes en
réseau (et non pas sur les postes de travail des utilisateurs) permet une gestion simple et
efficace :
n elle n'est pas contournable sur le poste de travail (en entreprise, certains
utilisateurs possèdent les droits administrateurs), car elle est présente sur le
réseau ;
n elle peut être aisément dupliquée sur l'ensemble des sites des entreprises, la
DSI pouvant avoir une politique unique de sécurité.
Pour ces sites, l’Application doit savoir gérer les serveurs qui traitent des multiutilisateurs
et des multisessions.
Lorsque la solution est un service, ce service peut être assuré en interne par une société
de service qui maintient en conditions opérationnelles les ressources informatiques du
service. Ce service peut être externalisé, tant au niveau des ressources informatiques (tout
ou partie à l’extérieur du périmètre de l’organisation) que de la gestion de la solution.
Lorsque l’Application est un service, il existe un contrat qui stipule entre autres choses
que le prestataire :
Sur les systèmes d’information de plus de 20 personnes, les dispositifs de type SFH
existent déjà, de plusieurs natures et de plusieurs origines (français, européens et autres).
Pour les Grands Groupes, ce sont souvent des systèmes propriétaires ad hoc intégrés à leur
système de sécurité.
Une Application conforme aux SFH pourra emprunter des éléments aux spécifications
des dispositifs de sécurité existants mais devra les compléter et les adapter à l’objectif de
lutte contre les contrefaçons en ligne.
L’Application peut être intégrée comme une extension dans un dispositif de sécurité.
MESURES ORGANISATIONNELLES
Pour compléter l’action de l’Application conforme aux SFH, il est important que les
organisations mettent en place des mesures organisationnelles.
L’élément 4 concernant l’affichage des notifications et des alertes pédagogiques doit être
tempéré par l’exigence de productivité d’un organisme collectif. La spécification se limitera à
des comptes-rendus différés (via par exemple des emails) aux utilisateurs (à des intervalles
ERGONOMIE
L’Application est quasi-transparente aux utilisateurs. Pour les architectures des MS dans
les organisations, l’Application est transparente pour les terminaux des utilisateurs
(quasiment rien n’est installé sur le poste des utilisateurs).
INTERFACE GRAPHIQUE
L’interface de l’Administrateur a les caractéristiques suivantes :
n Gestion des profils avec envoi d’un message électronique aux utilisateurs.
Dans un premier temps, un moteur de bas niveau dans des sondes branchées sur le
réseau quand il s’agit d’une architecture distribuée à l’extérieur des postes des utilisateurs,
capte à la volée le trafic réseau et décode syntaxiquement les différentes couches
protocolaires de manière à en extraire des caractéristiques (motifs distinctifs, signature
protocolaire).
Dans les organisations, il est plus courant de devoir appliquer de façon stricte une
politique de sécurité plutôt que de détecter dynamiquement une application et ensuite
demander l'accord. L’utilisateur n’a pas le choix et n’intervient pas dans la décision : les
actions sont autorisées ou interdites, selon la politique de sécurité, connue de chaque
utilisateur, grâce à la charte informatique et aux séances de sensibilisation. Dans ce cas
précis, les notifications et les alertes seront remontées à l’Administrateur.
Si l’Application est un service externalisé par un prestataire, les journaux peuvent être
transportés de manière sécurisée, en dehors de l’organisme, à travers le réseau.
Ce peut être le cas pour des organismes avec de nombreuses agences qui ont pour des
raisons économiques un service d’Application centralisée.
Afin d’assurer la pérennité du journal, une sauvegarde est envisageable sur un serveur
externe dans un coffre électronique. Le serveur est alors hébergé dans un lieu sécurisé.
RISQUES
L’Application doit être installée sur un système sain, correctement mis à jour, en
particulier concernant les correctifs liés à la sécurité. Le système d’exploitation supportant
l’Application, est correctement administré et configuré. En particulier, les accès aux différents
composants de l’Application ne sont accessibles qu’aux seules personnes autorisées (ayant
le rôle d’administrateur).
Les Administrateurs de l’Application sont considérés comme non hostiles. Ils sont formés
pour exécuter les opérations dont ils ont la responsabilité et suivent les manuels et
procédures d'administration.
Les équipements contenant les services de l’Application, ainsi que tous supports
contenant les biens sensibles de l’Application (papier, sauvegardes,...) doivent se trouver
dans des locaux sécurisés dont l'accès est contrôlé et restreint aux Administrateurs.
POLITIQUE DE SECURITE
Le rôle de l’Administrateur
Le rôle de l'Administrateur, personnel de la DSI, est très important, car c'est lui qui gère
(en temps réel ou en différé) la sécurité des flux entrant et sortant, par exemple au moyen
d'une station de supervision, avec des outils pour exploiter les journaux de tous les
utilisateurs. L'Administrateur obéit à une déontologie claire et précise pour respecter la
sphère privée des individus dans le cadre de ces organisations. On peut définir dans ce cas
des politiques de sécurité silencieuses, où l'utilisateur n'est pas alerté en permanence, et/ou
n'a pas à outrepasser la politique de sécurité définie par le responsable de l'établissement.
Le rôle de l’utilisateur
En entreprise, la mise en vigueur d'une politique de sécurité doit être simple et efficace,
car elle s'adresse à une population plus grande d'individus. Il n'est donc pas souhaitable
dans cette situation de laisser chaque employé décider en temps réel s’il bloque ou s’il laisse
passer certains flux. La décision doit être prise en amont par le dispositif de sécurité du
système d'information de l'entreprise. Le filtrage peut dans ce cas, se faire par des
instruments sur le réseau de l'entreprise, géré par l'Administrateur.
Ces profils peuvent être associés à un couple identifiant / mot de passe dont le niveau de
sécurité doit être satisfaisant, et sont automatiquement sélectionnés lorsqu’un utilisateur
ouvre une session.
Les caractéristiques d’un profil permettent d’établir des règles dépendantes de plusieurs
paramètres :
n La plage horaire ;
FONCTIONNALITÉS COMPLÉMENTAIRES DE
L’APPLICATION CONFORME AUX SFH À DESTINATION DES
PROFESSIONNELS (ORGANISMES COLLECTIFS)
Sont regroupées dans ce chapitre les fonctionnalités qu’une Application conforme aux
Spécifications Fonctionnelles Hadopi destinée aux professionnels (organisation collectives)
doit posséder en plus des fonctionnalités clés précédemment définies. Dans le cadre de
l’élaboration d’une Application destinée aux professionnels (organismes collectifs) et en cas
de conflit avec une fonctionnalité clé listée précédemment la priorité doit être accordée aux
fonctionnalités présentées ci-dessous.
FONCTIONNALITÉS GÉNÉRALES
• Ne doit pas entraver le fonctionnement courant (accès au réseau, performances des
systèmes, etc.)
Ces compléments des spécifications s’adressent au grand public et aux TPE (Très
Petites Entreprises). Ils sont orientés vers une solution logicielle installée sur le poste de
travail, ou bien dans les boîtiers de point d’accès internet, que cette solution soit un produit
géré par le titulaire de l’abonnement ou bien soit un service délivré par un prestataire.
Ces produits sont mis à jour en permanence, parfois quotidiennement, pour contrecarrer
les attaques nouvelles qui apparaissent sur le réseau (nouveaux virus, nouvelles formes de
spam, mises à jour des listes noires de sites contenant des fichiers illicites ou inappropriés,
mises à jour de listes blanches de sites autorisés, etc.). Ils sont un bouclier indispensable
pour l’internaute qui veut préserver son patrimoine numérique personnel et éviter les
désagréments d’une navigation sans précaution sur le Web.
Les logiciels installés sur les ordinateurs des utilisateurs appliquent une politique de
contrôle d’accès des flux entrant et sortant, paramétrée selon des critères et des paramètres
qui tiennent compte :
n Des listes noires : dans ce cas, il est possible de se connecter à l’ensemble des
sites URL d’internet et pages du Web, excepté ceux qui sont inscrits dans cette
liste. Dans le cadre du contrôle parental ces listes (centaines de milliers d’éléments,
en général) sont définies et mises à jour par diverses organisations ou groupes
d’ordre éthique.
n Des listes blanches : dans ce cas, il n’est possible de se connecter qu’à un site
appartenant à une liste définie (pour les enfants, utilisé dans les établissements
scolaires).
Une journalisation (fichiers *.log) des événements (blocage, désactivation, etc.) permet
de conserver un historique des navigations, des protocoles utilisés, et même de visualiser
les pages visitées.
Les pare-feu
Les produits de type pare-feu personnel permettent de prévenir et réduire la prise de
contrôle illégitime du poste par un tiers extérieur. Le pare-feu personnel permet de contrôler
l’accès au réseau des logiciels installés sur la machine, et notamment empêcher les
attaques par des chevaux de Troie, programme intrusif pour une prise en main à distance de
la machine par un pirate. Cela dit, la prise de contrôle des ordinateurs existe malgré les
pare-feu parce que les utilisateurs téléchargent et installent (souvent à leur insu) des
logiciels malveillants.
Les antivirus
Un antivirus détecte les virus, les vers, les logiciels espions, qui s'immiscent
subrepticement parmi les fichiers légitimes des utilisateurs ou dans la mémoire en tant que
programme exécutable ou partie de code. Certains vers ne s’écrivent même pas sur le
disque (comme SQL Slammer).
Les antivirus sont des logiciels d’analyse de contenu pour identifier des programmes
malveillants (appelés virus, vers, chevaux de Troie, etc.) et les neutraliser en supprimant les
fichiers contaminés ou en transportant dans une zone de quarantaine les fichiers supports,
ou en éradiquant ces virus et réparant les fichiers infectés. Ces virus proviennent de
l’extérieur (du Web, d’une clé USB, etc.), et circulent sur le réseau avec des propriétés de
duplication.
Les antivirus examinent les flux montants et descendants, les fichiers entrants, les
courriers, etc., en temps réel ou bien analysent l’ensemble des dispositifs de stockage de
l’ordinateur (disque fixe et amovible, mémoire, etc.) sur demande de l’utilisateur. Les
algorithmes des antivirus sont variables en efficacité : comparaison avec des virus connus
(analyse de signature virale), heuristique d’analyse de comportement, analyse
morphologique (filtrage suivant des règles).
Les antispams
Les produits de type « antispam » réduisent la réception de pourriel et de messages non
sollicités. Un antispam regarde le contenu des mails, des échanges selon des heuristiques
plus ou moins sophistiquées : analyse par mot clés, analyse linguistique statistique. Mais ces
techniques sont plutôt dépassées. Elles sont remplacées de nos jours par les heuristiques
d'intelligence artificielles capables d’apprentissage basés sur les réseaux bayésiens. Cela ne
concerne pas seulement la linguistique, mais aussi les formes, les formatages, la
sémantique. Les FAI ont une bonne vision des spams car un spam est un message qui se
distribue énormément : de ce fait les corrélations sont bien visibles.
Il existe dans les MS des réseaux locaux des fonctions de sécurité indispensables pour
le bon fonctionnement de l’environnement informatique.
Des fonctions de contrôle d’accès existent dans les systèmes d’exploitation des différents
équipements, notamment grâce à une identification et une authentification de l’utilisateur à
l’ouverture et à la reprise de session, avec les systèmes d’exploitation, locale ou distante.
Le contrôle d’accès plus fin dans les systèmes d'exploitation modernes permet
notamment de restreindre certains programmes. Ce sont des mécanismes spécifiques de la
protection de l’intégrité du système. Ce sont aussi la vérification des signatures pour tous les
pilotes et tous les logiciels à installer, la protection d'exécution des données, la protection
des piles, etc.
Des fonctions d’audit existent par la création de journaux des systèmes d'exploitation
pour l'imputabilité (permettant de savoir qui a fait quoi).
Des fonctions d’identification existent, notamment les systèmes de gestion de fichiers qui
identifient les fichiers pour chaque propriétaire.
Il existe des mécanismes de protection des données avec les systèmes de chiffrement
de fichiers sur les disques durs utilisant un mot de passe lié au nom du compte de
l’utilisateur (un ordinateur portable volé peut en effet servir à extraire des mots de passe
d’accès pour utiliser la ligne du titulaire de l’accès).
Il existe enfin les systèmes de contrôle d’accès aux réseaux menant à la ligne du titulaire
de l’accès internet, surtout dans le cadre des réseaux sans fil :
n Wi-Fi : WPA/WPA2 pour les particuliers mais aussi les portails captifs avec des
logs pour les TPE de type hotspots/café internet ;
n 3G/UMTS : AKA par USIM, avec des logs dans l’USIM. Ces systèmes sont
souvent complémentaires des pare-feu et des règles d’accès dans les équipements
des FAI, que cela soit le SGSN/GGSN dans 3G ou le boîtier 3Play dans ADSL.
Boîtier
Ces fonctions de sécurité permettent de définir des règles d’accès, des zones de
quarantaine, des serveurs bastions, des ports à utiliser sur certains équipements dans le
ADSL
réseau, etc.
La gestion des boîtiers varie selon le FAI. Certains boitiers ne se configurent qu’en local
(Orange, SFR, etc.), certains autres ne se configurent que par le réseau (Free) ce qui laisse
une trace d’une configuration chez un tiers (le FAI, en l’occurrence).
L’Application conforme aux SFH pourra emprunter des éléments aux spécifications des
suites de sécurité existantes (qui n’ont pas été conçues à l’origine pour lutter contre la
contrefaçon en ligne) mais devra les compléter et les adapter à l’objectif SFH.
n La solution, déployée sur les postes terminaux (ordinateurs), peut être identifiée
comme un module des suites de sécurité classiques actuelles dont font partie les
antivirus, les pare-feu, le contrôle parental, les antispams, les antimalware…
Lorsque la solution est un service géré par un opérateur de service, ce service d’option
d’adhésion (opt-in) peut être proposé aux internautes et/ou aux utilisateurs de la téléphonie
mobile. La solution peut être installée dans les boîtiers ADSL ou bien peut être une solution
sécurisée en réseau déployée via le réseau du FAI.
Il existe alors un contrat clair qui fixe les responsabilités entre le FAI d’une part et
l’opérateur de sécurité d’autre part, ainsi qu’un contrat clair entre l’opérateur de sécurité et le
client, titulaire de l’abonnement, notamment pour le respect de la sphère privée numérique et
la confidentialité des données à caractère personnel (l’opérateur de sécurité devra pouvoir
exhiber au client les traitements avec une certaine transparence de façon à éviter les portes
dérobées, les captures de flux).
La sécurité des MS repose sur l’Application conforme aux SFH et s’appuie, par ailleurs,
sur les fonctions de sécurité du système informatique du titulaire : par exemple, les MS
utilisent la sécurisation classique de la connexion, c’est-à-dire le protocole cryptographique
WPA entre les ordinateurs et le boîtier ADSL.
Le parc des boitiers est très hétérogène en France : modem, routeur, boîtiers « triple
Play ». Certains boîtiers datent de 2003.
Cependant il existe une évolution de plus en plus rapide de ce parc pour réduire la
maintenance de ces appareils chez l’habitant.
La sécurité de l’Application
Une Application propriétaire d’un Éditeur risque, comme tout autre logiciel de sécurité,
d’être attaquée.
Application
Pare-feu Antivirus
Suite de Sécurité
L’Application est destinée à surveiller les événements et leur contexte, à notifier, prendre
ou proposer certaines actions à l’utilisateur dans les cas où un événement et/ou un contexte
sont jugés comme porteurs de risque au sens de la politique de sécurité définie par
l’Administrateur, et à journaliser (optionnellement) lesdits événements, contextes,
notifications et actions de l’Administrateur, du titulaire et du (des) utilisateur(s).
MESURES ORGANISATIONNELLES
Pour compléter l’action de l’Application conforme aux SFH, il est important que le titulaire
de l’abonnement mette en place des mesures organisationnelles. Par exemple, le titulaire de
l’abonnement devra informer les utilisateurs des dangers du téléchargement illégal.
n simples d’accès pour tous les utilisateurs (internautes, téléphonie mobiles) pour
faciliter leur diffusion rapide ;
n faciles à mettre en œuvre pour tous les utilisateurs, y compris les personnes
non-techniques,
Lorsque c’est un produit, l’installation doit être simple pour l’Administrateur et pouvoir être
faite en quelques clics pour sa composante logicielle. Il en va de même pour la
désinstallation qui doit être effective à 100% (aucun « reste » informatique après
désinstallation).
Lorsque c’est un service, l’utilisation doit être simple : le titulaire peut se désabonner du
service facilement (et récupérer ses données personnelles – aucun « reste » informatique
après désabonnement chez le fournisseur de service).
L’Application peut être intégrée comme une extension dans une suite de sécurité
(contrôle parental, antispam, antivirus, pare-feu, etc.).
Cadre technique
n Système d’exploitation (Windows, MacOS, Unix, Linux, Android, iOS, etc.) pour
les postes terminaux, Linux ou autre pour les routeurs ou boîtiers ;
40
On n’enregistre pas le nom des fichiers de P2P, de streaming et les URL des sites qui ont participé
au téléchargement, mais on peut enregistrer ces identifiants sous forme de fonctions de hachage pour
être en mesure de vérifier les actions « suspectes » autorisées par l’utilisateur.
INTERFACE GRAPHIQUE
L’interface a les caractéristiques suivantes :
L’Application doit fonctionner avec discrétion, afin de ne pas importuner l’utilisateur dans
son activité numérique principale. L’Application est visible uniquement dans la barre des
tâches, par une icône. L’interface devient visible à l’utilisateur lors des paramétrages, des
affichages interactifs de notification (aussi modérés que possible) lors des détections d’une
utilisation non conventionnelle demandant une validation, ou d’une information furtive au
niveau de la barre des tâches (mise à jour, contrôle de validité, informations diverses, etc.).
Installation
Mise à jour
Quand une Application demande à l’utilisateur de permettre la mise à jour et qu’il répond
par l’affirmative, il est impératif d’enregistrer tous les éléments ayant amené à la question ;
sinon le journal pourrait ne pas enregistrer la réalisation effective de cet événement. Les
mises à jour sont automatiques, en temps réel, via le réseau, sous la responsabilité du
titulaire.
Lorsque les MS, en tout ou partie, sont dans les terminaux des utilisateurs, la partie
logicielle doit pouvoir être mise à jour automatiquement, via le réseau, au démarrage de
l’Application et par la suite à intervalles réguliers.
Pour certaines architectures de MS, l’Application est embarquée dans les systèmes de
communication (modem, routeur, boîtier ADSL, …). Dans ce cas, les prestataires autorisés
effectuent les mises à jour automatiquement.
Les MS doivent avoir un faible impact sur les performances des machines des
utilisateurs sur lesquelles se fait l’exploitation.
L’Application engendre des fichiers journaux dont le volume ne doit pas être excessif.
LES LISTES
L’utilisateur peut modifier ces listes, si la politique de sécurité l’y autorise. Ces
modifications sont journalisées. Le titulaire est alerté.
configuration est à risque ou non pour l’utilisateur et le cas échéant de générer une
notification de bas niveau et de lui proposer des solutions pour rendre la configuration de son
ordinateur compatible avec un usage responsable.
n Les logiciels applicatifs installés sur l’ordinateur. Ces logiciels doivent être
comparés avec ceux des listes (noires, blanches) des logiciels susceptibles d’entrée
en interfaçage avec internet (téléchargement de fichiers, échange de données, etc.).
En cas de découverte d’un logiciel suspect, une notification de bas niveau est
générée au titulaire de l’abonnement. Cette analyse statique des logiciels est
optionnelle. Elle peut être réalisée, au moins une fois, à l’installation de l’Application.
L’Application peut par ailleurs demander au FAI de vérifier que les clés (WPA) du boîtier
ne sont pas des clés faibles (ex : 12345) et de vérifier les adresses MAC des équipements
physiques connectés. Cette fonction de diagnostic donne une bonne assurance de sécurité
pour l’amélioration de la sécurisation de l’écosystème du titulaire de l’accès internet, bien
que les adresses MAC soient réinscriptibles par une personne malveillante.
LE SOUS-MODULE STATISTIQUE
L’Application peut se connecter de manière sécurisée à ces points d’accès à des
intervalles de temps réguliers (par exemple, toutes les 30 minutes ou toutes les heures). Ces
Avec la connaissance de cette information, l’Application peut alerter si des flux anormaux
ont transité sur le boîtier, en particulier pour les terminaux (console de jeux, etc.) où
l’Application ne peut être installée.
On pourrait envisager que le FAI puisse transmettre une alerte (par mail ou par SMS) à
l’abonné, si ce dernier le désire. Une telle fonctionnalité, si elle est retenue par l’abonné,
devra prévoir une conservation a minima des informations. L’abonné devra avoir été
clairement informé par le FAI de la politique de conservation mise en œuvre par ce dernier.
Des algorithmes de détection performants garantissent une qualité de service auprès des
utilisateurs finaux.
Le moteur de bas niveau peut être situé dans une sonde branchée sur le réseau local
quand il s’agit d’une architecture à l’extérieur des postes des utilisateurs, ou bien
éventuellement à l’intérieur du système d’exploitation lorsqu’il s’agit de postes terminaux des
utilisateurs.
Langage de règles
Le but de cette notification de haut niveau est d’avertir l’utilisateur de l’anomalie, de lui
proposer de modifier tel ou tel aspect du comportement de la machine ou de la configuration.
Une fois averti, l’utilisateur conserve le choix, de suivre le conseil proposé par l’analyse
de haut niveau ou de l’ignorer. Dans les deux cas, le choix de l’utilisateur est inscrit dans le
journal.
Cette énumération n’est pas exhaustive. Dans tous les cas, les actions doivent pouvoir
être appliquées en quelques clics. L’Application doit automatiser toutes les procédures
qu’elle propose à l’utilisateur.
Les notifications de haut niveau sont destinées à être vues en temps réel ou en temps
légèrement différé par les utilisateurs. Elles indiquent aux utilisateurs une anomalie
importante et une méthode afin de corriger cette anomalie.
41
Les notifications verbeuses risquent d’être néfastes si elles sont trop répétitives. Il convient, après
quelques itérations, de présenter alors des messages concis.
L’assurance de sécurité est plus faible lorsque l’Application est installée en autonome sur
les postes terminaux des utilisateurs.
POLITIQUE DE SECURITE
Lorsque l’Application est installée sur les ordinateurs personnels qui sont reconnus par le
boîtier ADSL, le titulaire de l’abonnement, Administrateur de la politique de sécurité, peut
configurer la politique de sécurité selon des profils d’utilisateurs.
Dans un foyer ou dans une TPE, le rôle de l’Administrateur doit être clairement identifié,
car la personne qui est le titulaire de l’accès internet n’est pas forcément une personne
familière avec l’informatique.
Les utilisateurs autorisés doivent dans ce cas être fortement sensibilisés aux risques
qu’ils font encourir au titulaire de l’accès internet en cas de mauvaise configuration de
l’environnement informatique ou de mauvais usage de l’informatique.
Ces profils peuvent être associés à un couple identifiant / mot de passe dont le niveau de
sécurité doit être satisfaisant, et sont automatiquement sélectionnés lorsqu’un utilisateur
ouvre une session sur l’ordinateur de l’Administrateur. Dans le cas d’une solution au niveau
du boîtier ADSL / routeur, les profils concernent l’ensemble des équipements connectés. La
gestion des profils, s’opérant au niveau du boîtier, on peut utiliser un système de cookies
pour que le boîtier reconnaisse l’utilisateur après une première connexion d’identification.
n Type de connexions : pour chaque profil, il existe une liste noire de protocoles
ou de type de connexions. Toutes tentatives de connexions sont notifiées et la
réponse de l’utilisateur est enregistrée.
n Logiciels : pour chaque profil, il existe une liste noire de logiciels. Les tentatives
pour lancer un logiciel sont, ou bien avortées et une notification est enregistrée,
ou bien une notification est signalée à l’utilisateur qui peut outrepasser
l’avertissement et la réponse est enregistrée.
L’interface de gestion des profils doit être particulièrement soignée et simple, de façon
que l’Administrateur puisse parvenir à configurer un ensemble de profils et ce quel que soit
son niveau de connaissances en informatique.
Ce catalogue de profils, est défini selon l’âge (de type contrôle parental), selon le degré
de connaissance informatique des utilisateurs (expérimenté, novice) et selon le degré de
risques accepté par le responsable de l’abonnement : aucune prise de risque par filtrage de
toutes les situations à risque, prise de risque maximale sans notification, et enregistrement
silencieux du journal si cette fonctionnalité est activée.
FONCTIONNALITÉS COMPLÉMENTAIRES DE
L’APPLICATION CONFORME AUX SFH À DESTINATION DU
GRAND PUBLIC
Sont regroupées dans ce chapitre les fonctionnalités qu’une Application conforme aux
Spécifications Fonctionnelles Hadopi destinée au grand public et aux TPE doit posséder en
plus des fonctionnalités clés précédemment définies. Dans le cadre de l’élaboration d’une
Application destinée au grand public et aux TPE et en cas de conflit avec une fonctionnalité
clé listée précédemment la priorité doit être accordée aux fonctionnalités présentées ci-
dessous.
FONCTIONNALITÉS GÉNÉRALES
• Simplicité d’utilisation
Après avoir spécifié ce que doit réaliser l’Application, ce que peut réaliser l’Application, il
est indispensable de pointer les obligations que doit respecter l’Application, en termes de
conception et/ou de propriétés non fonctionnelles.
n La journalisation est optionnelle par profil d’utilisateur ; le journal s’il existe, est
en clair ou bien chiffré, par profil d’utilisateur ;
n L’Application ne doit pas réaliser de DPI (Deep Packet Inspection) dans les
réseaux publics ;